全社DX を止めないためのセキュリティ再設計。"伴走型" ゼロトラストで安心の基盤を構築

ＪＢＣＣグループにおけるセキュリティ変革の起点は、2020年の緊急事態宣言発令と、それに伴う社会全体の働き方の激変にあった。それ以前の同社は、社内ネットワークを専用回線（閉域網）で接続し、インターネットへの出口を一箇所に集約する、いわゆる「境界型防御」モデルを採用していた。

DX推進を担当する永田は、「当時は社内からのアクセスが前提であり、守るべき境界が明確で、比較的安全な環境で運用されていました」と振り返る。

しかし、コロナ禍により全社員約2000名が一斉に在宅勤務へと移行したことで状況は一変する。テレワークへの移行により、Microsoft Teams を導入した事で、ネットワークの混雑が発生。ネットワーク環境を安定させ、安心・安全に利用できる環境の再設計が急務に。時を同じくして、「脱オンプレミス・クラウドリフト」も進行しており、業務システムがSaaS（Software as a Service）や、IaaS（Infrastructure as a Service）へと移行。データもアクセス経路もすべてがインターネット上に分散するという、セキュリティ管理上、極めてリスクの高い状態に直面したのである。

加えて、ＪＢＣＣグループの課題として、M&Aによるグループ拡大の歴史があった。異なる文化を持つグループ会社間において、セキュリティ対策状況の把握は各部門へのヒアリングに依存しており、いわば「性善説」に基づく管理が続いていた。「しかし、ログの可視化を進めると、報告と実態に乖離があることが次々と判明しました。もはや性善説では限界がある。すべてのアクセスを疑い、検証する“ゼロトラスト”への転換が不可欠だと痛感しました」（永田）。こうしてＪＢＣＣ グループは、自社のDX を止めることなく安全に進めるため、セキュリティアーキテクチャの抜本的な再設計に着手することとなった。

ＪＢＣＣグループが推進したゼロトラスト移行プロジェクトにおける最大の特徴は、自社をお客様へソリューションやサービスを提供する前の「実証環境（ショーケース）」と位置づけ、果敢な投資と検証を行っている点である。同規模企業のIT 予算におけるセキュリティ投資比率は10～15% 程度と言われる中、ＪＢＣＣグループではここ数年、その比率20～25% 以上まで引き上げている。これは、単なる守りのコストではなく、最新の脅威に対応し、その知見をお客様へ還元するための「攻めの投資」であるという経営判断によるものだ。

導入にあたっては、IPA（独立行政法人情報処理推進機構）などが公開しているガイドライン等をベースに自社の弱点を客観的にスコアリングし、優先順位をつけたロードップを策定した。具体的には、2022 年度までにネットワークインフラを刷新。インターネット上に仮想的なゲートウェイを設けるSASE（Secure Access Service Edge）の導入により、自宅や外出先、海外拠点など、どこからのアクセスであっても統一されたセキュリティポリシーが適用される環境を構築した。並行して、侵入されることを前提としたEDR（Endpoint Detection and Response）や、クラウド設定監査を行うCSPM（Cloud Security Posture Management）、シャドーIT を可視化するAttack Surface Management（ASM）を展開し、「全方位」での防御体制を整えている。

これらの導入・運用において核となったのが、自社がお客様に提供している「マネージドサービス」の全面的適用である。ＪＢＣＣグループのセキュリティ運用監視センター「SMAC（Solution Management and Access Center）」と連携し、24時間365日体制のSOC（Security Operation Center）と高度なスキルを持つセキュリティエンジニアが、ログの解析や脅威の一次判断、隔離対応といった専門的なオペレーションを担っている。

ゼロトラストモデルへの移行とマネージドサービスの導入効果は、単なるリスク低減に留まらない。リスクの可視化と運用効率の向上だけでなく、お客様へ提供する「安心の質」を飛躍的に高めることとなった。

まず運用面においては、SMACへのアウトソースが功を奏している。以前はインシデントのアラートが鳴るたびに情報システム部門の担当者が全ての業務を中断して調査に追われていたが、現在は専門家によるフィルタリングを経た高精度のレポートを受け取るのみとなり、対応工数が大幅に削減された。このレポートの品質について、クラウドセキュリティ部門の宇敷は次のように語る。
「ある大手企業様からは、自社に情報システム子会社をお持ちであるにも関わらず、『自分たちではここまでの詳細なレポートは作れない』と評価をいただきました。一般的な管理コンソールでは見逃されがちな緊急度が低いレベルのアラートも、お客様のIT 環境を理解したエンジニアが分析し、重要度の高いセキュリティリスクを見極めて、具体的な対策とともにわかりやすく、お客様へご報告します。製品機能だけでなく、セキュリティの専門知識を持つ人の知見が入ることで初めて見えてくるリスクがあるのです」。

また、SASE やCASB（Cloud Access Security Broker）の導入によって、社員のSaaS利用状況が詳細に把握できるようになったことも大きな成果だ。ログ解析の結果、未承認のファイル転送、リスクの高い生成AI利用なども把握可能になった。これまでは「見えていなかった」リスクが可視化されたことで、具体的な証拠に基づき、Boxや Microsoft Teams（OneDrive・SharePoint）以外のストレージへの保存制御や、安全な生成AI のみを許可するといった実効性のある対策が実現している。

ＪＢＣＣグループは、構築した全方位のセキュリティ基盤を土台として、さらなるデータ利活用とセキュリティの高度化を推進していく方針だ。

同社が提供する価値は、単なる製品導入や監視代行に留まらない。
数多くのお客様と「伴走」してきた経験があるからこそ、ITの技術的な側面だけでなく、最新のセキュリティ動向やビジネス、自動車産業のサイバーセキュリティガイドラインなど、業界特有の知見を併せ持っている点にある。「お客様の環境やビジネスを深く理解しているからこそ、単にアラートを通知するだけでなく、『このシステム構成なら、ここを重点的に見るべきだ』といった優先順位付けや、経営層への投資判断を促すための提案が可能になります。失敗も含めてリアルな運用ノウハウを蓄積し続けることで、お客様のビジネスに伴走する最強のパートナーであり続けたいと考えています」（宇敷）。

技術の進化と共に新たな脅威も生まれ続ける中、ＪＢＣＣグループは果敢な投資と検証を続け、常に最新の知見を取り入れた「全方位のセキュリティ」を更新し続ける。その実践知こそが、お客様が安心してDXに邁進できる環境を支える、揺るぎない基盤となるのである。

ゼロトラストで守るクラウド・AI 時代のセキュリティ
～自社を「実践のショーケース」に、ＪＢＣＣグループが挑んだ“全方位” 改革～

資料をダウンロードする

複雑化・高度化する脅威に立ち向かうＪＢＣＣのセキュリティサービス

サプライチェーンを狙うランサムウェア攻撃や、生成AI の業務利用で高まるセキュリティリスク。複雑化する脅威に対し、監視・検知・インシデント対応までを一元的にご支援します。

詳細を見る